در پشتی و کی‌لاگر در TeamViewer

به گزارش واحد متخصصین سایبربان؛ کاربران خدمات راه دور TeamViewer در هفته‌های اخیر در مورد نفوذ به سامانه‌های آن‎ها، خرید غیرمجاز از کارت‌های اعتباری و خالی شدن حساب‌های بانکی خود شکایت کرده‌اند. در ابتدا تصور شد که این مشکل به خاطر نفوذ به خود TeamViewer است، اما این شرکت منکر چنین موضوعی شد. به‌جای آن اعلام کرد که از رمزهای عبور نباید دوباره استفاده شود، چراکه به خاطر نفوذهای مکرر به شبکه‌های اجتماعی میلیون‌ها رمز عبور در دسترس مهاجمان قرار داده‌شده است. 

برخی بر این باورند که یک بدافزار به‌نوعی در حال فعالیت است و مشکل اصلی آن است. شواهدی در دست است که بسته‌های TeamViewer که دارای بدافزار هستند در حملات هرزنامه مورداستفاده قرارگرفته‌اند و همین امر موجب شده که مهاجمان بتوانند دسترسی از راه دور خود را به سامانه‌های متعددی تضمین کنند. درحالی‌که این حمله‌ی خاص هرزنامه از یک نسخه‌ی قدیمی TeamViewer استفاده می‌کند، نمی‌توان از امکان انجام حملات دیگر با استفاده‌ از نسخه‌های جدیدتر چشم پوشید. 

این حمله‌ی هرزنامه به کاربران در ایتالیا با سوءاستفاده از موضوعات مختلفی که در زیر ذکرشده، حمله کرده است:‌

دسترسی به داده‌ها

شناسه شما مورداستفاده قرارگرفته است 

نسخه آزمایشی رایگان ۳۰ روزه 

سفارش‌های ترکیبی 

اطلاعات حساب شما 

تأمین مالی 

یک پرونده ساده‌ی جاوا اسکریپت به این پیام‎ها ضمیمه‌شده است و هنگامی‌که این پرونده اجرا می‌شود می‌تواند پرونده‎های متنوع دیگری را در داخل سامانه‌ی قربانی بارگیری کند:‌

یک کی‌لاگر که به شکل TSPY_DRIDEX.YYSUV شناخته‌شده است.

یک نسخه‌ی دارای بدافزار TeamViewer که به‌عنوان BKDR_TEAMBOT.MNS شناخته‌شده است.

یک دسته پرونده که دو مورد بالا را اجرا کرده و سپس خود را حذف می‌کند. 

 نسخه‌ی دارای بدافزار که موجب نصب این در پشتی می‌شود، بسیار قدیمی است، نسخه‌ی ۶.۰.۱۷۲۲۲.۰. نرم‌افزار TeamViewer 6 ابتدا در دسامبر سال ۲۰۱۰ منتشر شد و در نوامبر سال ۲۰۱۱ با نسخه‌ی ۷ این نرم‌افزار جایگزین شد. نکته بعدی اینکه این نرم‌افزار در یک مکان غیرمعمول نصب می‌شود: %APPDATA%\Div (برخی از انواع آن‎ها به‌جای این مکان، یک رونوشت از خود را در مسیر %APPDATA%/Addins قرار می‌دهند). این رفتار در همه‌ی موارد مختلف مشاهده‌شده‌ی این حمله، ثابت است. 

این نسخه از نرم‌افزار دارای در پشتی است، اما این کار با دست‌کاری نسخه‌ی قانونی آن صورت نگرفته است. به‌جای آن، دارای یک پرونده DLL اضافی است، avicap32.dll. (این پرونده DLL‌ به نام BKDR_TEAMBOT.DLL شناخته‌شده است). در مورد کلاسیک سرقت دستور جستجوی DLL؛ نرم‌افزار قانونی TeamViewer از این DLL برای دو عملکرد استفاده می‌کند، نسخه‌ی قانونی آن بخشی از خود ویندوز است. بااین‌حال، نسخه‌ی حاضر آلوده به مهاجم اجازه می‌دهد تا کنترل نرم‌افزار TeamViewer را به دست گیرد. 

این حمله‌ی خاص یک ماه است که به کاربران در ایتالیا حمله می‌کند و زمان کافی در اختیار داشته تا رمزهای عبور و نام‌های کاربری همه‌ی قربانیان را جمع‌آوری کند. حضور یک نسخه‌ی TeamViewer  که دارای در پشتی است این احتمال را افزایش می‌دهد که نسخه‌ی جدیدتر نیز ممکن است هدف انجام حملات اخیر شود. 

یک موضوع دیگر که باید موردتوجه قرار گیرد این است که مدیران TeamViewer ممکن است بتوانند خسارت ناشی از این نسخه‌های قدیمی را کاهش دهند. همه‌ی اتصالات TeamViewer در ابتدا توسط کارگزارهای این شرکت انتقال پیدا می‌کنند؛ بنابراین می‌توان اتصالاتی را که توسط این نسخه‌های پشتیبانی نشده صورت می‌گیرد در مرحله‌ی اول و درخواست ارتباط قطع کرد تا از استفاده‌ی مخرب جلوگیری شود. هرچند که متأسفانه اتصال همه‌ی کاربرانی را که از نسخه‌های قدیمی استفاده می‌کنند، قطع می‌کند. 

نرم‌افزارهای راه‌حل Trend Micro نظیر Trend Micro™ Security،Smart Protection Suites و Worry-Free™ Business Security می‌توانند از کاربران و مؤسسات کوچک در برابر این تهدید با کشف پرونده آلوده و پیام‌های هرزنامه و مسدود کردن همه‌ی نشانی‌های آلوده‌ی مربوطه محافظت کنند. از طرف دیگر، نرم‌افزار Trend Micro Deep Discovery دارای یک‌لایه‌ی بررسی رایانامه است که می‌تواند با کشف ضمیمه‌ها و نشانی‌های آلوده، شرکت‌ها را محافظت کند.